Co můžeme vyčíst ze zprávy o konzultační činnosti ÚOOÚ za rok 2023? Velmi zajímavé názory úřadu na zasílání obchodních sdělení třetí stranou, využívání online kamer či otisků prstů v rámci docházkového systému, které můžou mít zásadní dopad do praxe.
V minulém čísle jsme rozebírali, na co si nejvíce lidé u ÚOOÚ stěžují a jaké stížnosti se nejčastěji opakují. To však není jediná interakce mezi ÚOOÚ a veřejností. Na úřad se totiž může (někdy i musí) obrátit mnoho správců s žádostí o konzultaci některých složitých otázek souvisejících s GDPR.
Svojí konzultační činností ÚOOÚ plní podle svých slov celkem dva cíle, z nichž primární je usnadnit správcům a zpracovatelům plnění jejich povinností, které na ně z GDPR dopadají. Druhým cílem je dle ÚOOÚ zvyšování povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti s ochranou osobních údajů. Abychom tomuto zvýšení povědomí napomohli, podíváme se v tomto článku na výstupy z této činnosti za rok 2023.
Zákaznická výjimka pro OS platí jen pro přímý zákaznický vztah
Zasílání obchodních sdělení třetí stranou
Hned na úvod se podíváme na poměrně zásadní otázku, která se dotýká téměř každého, kdo v životě nakupoval na internetu. ÚOOÚ se totiž v rámci konzultační činnosti zabýval otázkou zasílání dotazníků spokojenosti prostřednictvím e-mailů. Tyto e-maily, které jsou odesílány ze strany společností doručujících zboží, byly dlouhodobě považovány za obchodní sdělení ve smyslu ustanovení § 2 písm. f) zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů – v tom se prakticky nic nezměnilo.
Jak ale postupovat v případě, že e-maily jsou zasílány ze strany osoby, která zákazníkovi doručuje zboží pouze na základě smlouvy s prodejcem – tedy bez toho, aby byl mezi adresátem a odesílatelem jakýkoliv vztah, jakkoliv se předmětný e-mail týká spokojenosti s doručením? Těžko. Podle ÚOOÚ ne lze dovozovat takzvanou zákaznickou výjimku u osob, mezi kterými není přímý zákaznický vztah. Pokud chce tedy kdokoliv ověřovat spokojenost s doručením, bude si k tomu bohužel muset vyžádat souhlas.
Doručování ve správním řízení
Každý, kdo někdy studoval správní právo, ať už se jednalo o studium střední či vysoké školy, nebo i advokátní zkoušky, si mohl být poměrně jist, že v jeden okamžik si „vytáhne“ otázku nazvanou „doručování ve správním řízení“. Pokud jste měli možnost se správnímu právu ve svém životě zcela vyhnout, postačí vám jen vědět, že v některých případech správní orgány mohou doručovat svá rozhodnutí prostřednictvím veřejné vyhlášky, jež je následně vyvěšena na úřední desce (a tedy všem přístupná).
ÚOOÚ se v rámci konzultační činnosti zabýval postupem jednoho správního orgánu, který uvedl účastníky spolu s jejich osobními údaji na zvláštním listu, jenž byl přílohou rozhodnutí – a to proto, aby s ohledem na vysoký počet těchto účastníků ne bylo předmětné rozhodnutí zcela nepřehledné. Otázkou zůstává, jak je to s ochranou osobních údajů všech těchto účastníků, kterým není rozhodnutí doručováno do vlastních rukou, ale veřejně. Dle ÚOOÚ je takový postup zcela v souladu se zákonem a odpovídá tak i požadavkům právního titulu nezbytnosti pro splnění právní povinnosti.
Provozování kamer s online přenosem
Jedna z otázek, která byla otevřena v rámci nové metodiky ke kamerovým systémům, se nám vrátila i v rámci výstupu z konzultační činnosti – a sice, zda je online kamera (online stream), která nevytváří záznam, zpracováním osobních údajů. Dle ÚOOÚ stále ano.
ÚOOÚ k tomu uvedl, že zpracováním dle čl. 4 odst. 2 GDPR se rozumí i zpřístupnění přenosem, přičemž ÚOOÚ „[…] přenosem rozumí možnost sledování především videozáznamu v reálném čase“. Pokud odhlédneme od zjevného oxymoronu, kde uživatel bezzáznamového systému může v reálném čase sledovat videozáznam (sic), dle ÚOOÚ nelze v takových situacích vyloučit riziko pořízení záznamu ze strany osoby, jež předmětný záznam aktuálně sleduje na svém zařízení. ÚOOÚ k tomu tak uvedl následující: „V souladu s uvedeným lze konstatovat, že citované nařízení dopadá na všechna zpracování prováděná prostřednictvím kamerového systému, ať už s pořizováním kamerového záznamu, nebo v režimu bez záznamu (online). To však pouze v případě, že zasahují do práv a svobod identifikovaných nebo identifikovatelných fyzických osob (především snímají fyzické osoby) a nejsou určena výhradně pro osobní potřebu.“
I online kamery bez záznamu v drtivé většině podléhají GDPR
Smluvní pokuta ve zpracovatelské smlouvě
Pokud jste zpracovatelem osobních údajů, jedna věc ve zpracovatelských smlouvách vám stoprocentně dělá vrásky na čele – a to smluvní pokuty týkající se zajištění vašich povinností. Zpracovatel při zpracování osobních údajů totiž musí dodržovat povinnos ti stanovené nejen GDPR, ale také ty, které jsou sjednány ve zpracovatelské smlouvě. Článek 28 odst. 3 GDPR totiž obsahuje pouze demonstrativní výčet povinností, jež musí zpracovatelská smlouva obsahovat, a finální podoba zpracovatelské smlouvy tak musí předmětné náležitosti blíže rozvádět. GDPR ani zákon o zpracování osobních údajů nezakazují použití smluvní pokuty k zajištění plnění povinností. Smluvní pokuta je sama o sobě upravena občanským zákoníkem a může být součástí smluvních vztahů mezi správcem a zpracovatelem. Dle ÚOOÚ tak není v rozporu s GDPR (ba možná tak trochu naopak), pokud správce a zpracovatel zakomponují do své smlouvy povinnost uhradit smluvní pokutu správci.
Omezení výkonu práv subjektu údajů
V oblasti omezení výkonu práv subjektu údajů podle článku 23 obecného nařízení v kontextu zákona č. 171/2023 Sb., o ochraně oznamovatelů, se ÚOOÚ s vysvětlením konzultace nikterak nepřemáhal, uvedl pouze následující: „V případě, kdy správce osobních údajů obdrží žádost o uplatnění práv subjektu údajů (podle článků 12 až 22 obecného nařízení), a této žádosti v kontextu § 20 odst. 1 zákona č. 171/2023 Sb., o ochraně oznamovatelů, nevyhoví, resp. omezí práva subjektu údajů s ohledem na článek 23 obecného nařízení a § 11 odst. 1 zákona č. 110/2019 Sb., o zpracování osobních údajů, je povinen tuto skutečnost bez zbytečného odkladu ohlásit Úřadu. Tato povinnost vyplývá z § 11 odst. 2 zákona o zpracování osobních údajů. Uvedené lze konstatovat mj. i proto, že zákon o ochraně oznamovatelů předmětnou povinnost nevylučuje ani neobsahuje speciální úpravu.“
Pozor, zpracovatelská smlouva může obsahovat smluvní pokuty
Zpracování biometrických údajů v rámci docházky
ÚOOÚ se dále zabýval poměrně zajímavou otázkou v rámci HR agendy, a sice zpracováním biometrických údajů, konkrétně otisků prstů fyzických osob, v docházkových systémech potravinářského průmyslu. Biometrické údaje, včetně otisků prstů, jsou totiž podle článku 9 odst. 1 GDPR považovány za zvláštní kategorie osobních údajů, přičemž platí, že jejich zpracování je obecně zakázáno, pokud nejsou splněny výjimky uvedené v článku 9 odst. 2 GDPR.
A zde začíná být komentář ÚOOÚ zajímavý. ÚOOÚ totiž uvedl následující: „Jelikož právním řádem České republiky není zpracování otisků prstů prostřednictvím docházkového systému za uvedeným účelem povoleno, nelze v České republice podle ustanovení článku 9 odst. 2 písm. b) obecného nařízení zpravidla tyto údaje zpracovávat. Ani hygienické ohledy (kontaminované klíče, karty) nejsou dostatečným důvodem pro zavedení ověřování za pomoci otisků prstů, které mj. může znamenat obdobné riziko kontaminace.“
Určitě si však kladete otázku, zda by takové zpracování nemohlo probíhat alespoň na základě souhlasu. K tomu ÚOOÚ uvádí následující: „Udělení výslovného souhlasu podle ustanovení článku 9 odst. 2 písm. a) obecného nařízení se zpracováním biometrických údajů v tomto případě s ohledem na přísné podmínky stanovené především článkem 4 bod 11 a článkem 7 citovaného nařízení není vhodné. V praxi je z pohledu správce především obtížně naplnitelná podmínka svobodného projevu vůle subjektu údajů, jelikož se v rámci uvedené problematiky v drtivé většině případů jedná o zaměstnance, kteří jsou ve vztahu vůči zaměstnavateli obecně považováni za slabší stranu. Rovněž je vzhledem k účelu docházkového systému problematická realizace práva subjektu údajů udělený souhlas kdykoliv odvolat tak snadno, jako byl udělen.“
Předmětná informace je poměrně zásadní, neboť v předchozích letech se ÚOOÚ k této otázce vyjadřoval zejména v rámci své kontrolní činnosti, přičemž několikrát došel k poměrně rozdílným závěrům (například pouze konstatoval obsahové nedostatky takového souhlasu, nicméně samotný souhlas jako takový nevyloučil).
Pozor na využívání otisků prstů v rámci docházkového systému
Žádost o poskytnutí kopie telefonické nahrávky
Zajímavý závěr z konzultace si pro nás ÚOOÚ nechal na konec. Tematicky se totiž věnoval rozsahu práva na přístup v případě telefonických hovorů. Podle článku 15 GDPR je povinností správce poskytnout subjektu údajů, který požádal o přístup k osobním údajům, osobní údaje, jež se ho týkají. Pokud nahrávka vzájemného telefonního hovoru obsahuje pouze osobní údaje týkající se subjektu údajů, správce musí poskytnout kopii této nahrávky v plném rozsahu.
Pokud nahrávka obsahuje osobní údaje, které se netýkají subjektu údajů, správce musí dle ÚOOÚ před poskytnutím této nahrávky tyto údaje anonymizovat. Anonymizace musí být provedena tak, aby tyto údaje nebylo možné identifikovat ani po zpracování. V určitých případech může být nutné, aby žádost o poskytnutí nahrávky obsahovala datum pořízení a předmět hovoru kvůli usnadnění vyhledání.
Zajímavé je však to, jak ÚOOÚ právo na přístup v tomto kontextu interpretuje, uvádí k tomu totiž následující: „V této souvislosti je vhodné uvést, že obsahem práva na přístup k osobním údajům podle ustanovení článku 15 obecného nařízení, jímž je podle ustanovení článku 15 odst. 3 obecného nařízení rovněž poskytnutí kopie zpracovávaných osobních údajů, není míněno poskytnutí kopií všech kompletních dokumentů, např. smluv, obsahujících osobní údaje. V určitých případech je postačující uvedení konkrétního soupisu zpracovávaných osobních údajů spolu s vymezením, ve kterých dokumentech jsou předmětné osobní údaje uvedeny.“
Uvidíme však, jak předmětný názor obstojí proti závěrům z rozhodnutí SDEU ve věci C434/16, které se právě týkalo rozsahu práva na přístup ve vztahu k odpovědím a korekturním poznámkám zkoušejících jakožto osobním údajům.
Dopady do praxe
Co si můžeme vzít ze závěru z konzultací od ÚOOÚ? Závaznost právních názorů ÚOOÚ v rámci konzultační činnosti není vždy stoprocentní, neboť sám ÚOOÚ takovými názory při svém rozhodování není vázán a nelze tak vyloučit, že co jednou „povolil“, po druhé „zakáže“ ve formě sankce a konstatování porušení GDPR. V každém případě je vždy ale vhodné vědět, jak ÚOOÚ na některé otázky nahlíží, abychom mohli být připraveni.
Comentários